網際網路交換點(IXP)是一個物理基礎架構,它允許不同的網際網路服務提供商(ISPs)在它們的自動系統之間通過對等協定來交換網際網路通信。IXPs典型的由ISPs使用來減少對它們各自上行提供商的依賴;此外,它們被使用來增加功率和容錯性。
基本介紹
- 中文名:網際網路交換點
- 外文名:IXP
- 功能:增加功率和容錯性
- 架構:物理基礎架構
簡介,NAP強制,客戶端,伺服器,健康策略,特定組件,
簡介
網路訪問保護(NAP)包含多個客戶端和伺服器組件。具有在所有NAP部署中使用的常見NAP組件,以及僅針對特定部署使用的組件,具體取決於NAP強制方法或您選擇的方法。
NAP強制
NAP強制方法是與網路訪問保護一起使用以強制健康策略的多種網路訪問技術中的任一種。強制方法包括動態主機配置協定(DHCP)、Internet協定安全性(IPsec)、虛擬專用網路(VPN)、終端服務網關(TSGateway)和可擴展的身份驗證協定(EAP),可以對由NPS伺服器進行身份驗證的基於802.1X的無線和有線連線使用這些方法。常見NAP組件包括客戶端和伺服器組件,由所有NAP強制方法使用。
客戶端
可使用NAP的客戶端是已安裝NAP組件的計算機,可以通過向網路策略伺服器(NPS)傳送健康聲明(SoH)驗證其健康狀態。
以下是NAP基礎結構的可使用NAP的客戶端計算機組件。
健康聲明(SoH)一種聲明其健康狀態的來自客戶端計算機的聲明。系統健康代理(SHA)創建健康聲明(SoH)並將這些聲明傳送到NPS伺服器上相應的系統健康驗證程式(SHV)。
系統健康代理(SHA)一種組件,該組件檢查客戶端計算機的狀態以確定由SHA監視的設定是否為最新且已正確配置。例如,Windows安全健康代理(WSHA)可以監視Windows防火牆,檢查防病毒軟體是否已安裝、啟用和更新,反間諜軟體是否已安裝、啟用和更新,以及Microsoft更新服務是否已啟用,且計算機是否擁有來自Microsoft更新服務的最新安全更新。還可能存在提供其他功能的可從其他公司獲得的SHA(以及相應的系統健康驗證程式)。
NAP代理一種收集和管理健康信息的客戶端服務。處理來自各種系統健康代理的健康聲明,並將客戶端健康狀況報告給NAP管理伺服器。
強制客戶端與網路訪問技術集成的客戶端軟體,如DHCP、VPN和IPsec。若要使用NAP,必須在客戶端計算機上安裝和啟用至少一個NAP強制客戶端。單個NAP強制客戶端是特定於強制方法的,並在以下部分進行說明。NAP強制客戶端請求訪問網路、與提供網路訪問的NAP伺服器(如NAP伺服器)交流客戶端計算機的健康狀態,並與NAP客戶端體系結構的其他組件交流客戶端計算機的受限狀態。
伺服器
以下是NAP基礎結構的伺服器組件。
更新伺服器承載NAP代理可用於使不兼容的客戶端計算機具有兼容性的更新。例如,更新伺服器可以承載防病毒簽名。如果健康策略要求NAP客戶端計算機安裝最新的防病毒定義,則用於承載防病毒簽名的防病毒SHA、防病毒SHV、防病毒策略伺服器,以及更新伺服器通力協作以更新不兼容的計算機。
系統健康驗證程式(SHV)伺服器軟體對應於SHA。客戶端上的每個SHA在NPS中都具有相應的SHV。NPS使用SHV來驗證由客戶端計算機上其相應SHA進行的健康聲明。
SHA和SHV相互匹配,連同相應的策略伺服器(由SHV用於確定系統健康的當前條件),以及可能的更新伺服器。SHV還可以檢測到尚未接收SoH(如SHA從未安裝或者已損壞或刪除的情況)。如果SoH不滿足已定義的策略,則SHV會將健康聲明回響(SoHR)訊息傳送到SHA。一個網路可能具有多種SHV。如果情況如此,則NPS伺服器必須調整所有SHV中的輸出,確定是否限制不兼容計算機的訪問。這要求為環境定義健康策略以及評估SHV互動的不同方式時仔細進行計畫。Windows安全健康驗證程式(WSHV)可以驗證來自客戶端計算機上的WSHA的SoH。還可能存在提供其他功能的可從其他公司獲得的SHA(以及相應的SHA)。
健康策略
通過配置單個SHV並將其添加到健康策略,然後配置策略條件而創建的規則。然後當您將健康策略添加到網路策略的設定時,這些策略由NPS實施和強制。
健康聲明回響(SoHR)驗證SoH。如果客戶端計算機不兼容,則SoHR包含客戶端上SHA用於使客戶端計算機配置符合健康策略的補充說明。每種類型的SoH存儲有關係統健康狀態的各種信息,SoHR訊息存儲有關如何與NPS中配置的健康策略要求兼容的各種信息。
特定組件
特定於強制方法的組件
以下是NAP基礎結構的特定於強制方法的組件。
強制技術可配置用於強制NAP策略的五種網路訪問技術之一。
強制伺服器NAP伺服器上的一種組件,通常與NAP強制客戶端匹配,根據其健康符合性限制客戶端計算機的網路訪問。存在多種NAP強制伺服器:一種用於DHCP地址配置,一種用於VPN連線,一種用於IPsec保護的通信,一種用於終端服務網關(TS網關),一種用於可擴展的身份驗證協定(EAP),您可以將其用於由NPS伺服器進行身份驗證的基於802.1X的連線。